APT-Response-Dienstleister
|
|
- Gerrit Michel
- vor 6 Jahren
- Abrufe
Transkript
1 BSI-Veröffentlichungen zur Cyber-Sicherheit Kriterien für qualifizierte Dienstleister APT-Response-Dienstleister Aufgrund zunehmender, massiver Cyber-Angriffe auf Unternehmen und staatliche Institutionen besteht neben der Prävention auch ein steigender Bedarf zur Abwehr laufender oder erfolgter Angriffe. Besonders bei gezielten Angriffen starker Gegner (Advanced Persistent Threat, APT) stellen diese Tätigkeiten spezielle Anforderungen an die dabei eingesetzten Dienstleister. Merkmale solcher gezielten Angriffe / APTs sind: Gezielter Angriff auf ausgewählte Organisationen Typischerweise Einsatz verschiedener Angriffstechniken Persistente (d.h. dauerhafte) Bedrohung / Infektion Starker, d.h. mit umfangreichen Ressourcen und Know-How versehener Angreifer Ausbreitung im internen Netz 1 Definition APT-Response-Dienstleister 1.1 Aufgaben eines APT-Response-Dienstleisters Zu den charakteristischen Aufgaben eines APT-Response-Dienstleisters gehören: Aufklärung des Umfangs des Angriffs und der aktiven Zugangskanäle Aussperrung des Angreifers Beobachtung neuer Angriffsversuche und Ursachenanalyse Säuberung manipulierter Systeme und Verhinderung erneuter Vorfälle Optional: Suche und Erkennung möglicher Angriffe (APT-Hunting) 1.2 Typischer Projektablauf Der Projektablauf bei Response-Projekten ist sehr individuell und von der Art des Angriffs abhängig, beinhaltet aber typische Kernelemente: Vorfeld Ein Response-Projekt beginnt in aller Regel durch ein auslösendes Ereignis. Dabei kann es sich um die Erkennung eines Angriffs handeln oder (häufiger) um das Auftreten von Indizien, die einen erfolgten oder laufenden Angriff vermuten lassen. Dabei ist der Dienstleister üblicherweise noch nicht involviert, auch wenn eine Beratungstätigkeit zu Erkennungsmöglichkeiten außerhalb eines konkreten Response-Projekts zum Kompetenzbereich des Anbieters zählen sollte. Erstbegutachtung Als erste Reaktion auf einen Vorfallsverdacht wird der Dienstleister eine Erstbegutachtung und -analyse der betroffenen Systeme durchführen. Hier entscheidet sich die weitere Vorgehensweise. Version 1.00 vom Seite 1 von 11
2 Etablierung sicherer Kommunikationskanäle unter Umgehung möglicherweise betroffener Systeme Welche Spuren wurden bereits aufgenommen? Welche Maßnahmen wurden bereits getroffen? Gibt es eine Malware-Beteiligung? Ist der Angreifer 1 noch aktiv? Könnte er Reaktionen beobachten? Wie sieht die betroffene Infrastruktur im Überblick aus? Wie gut kennt die betroffene Organisation ihre Infrastruktur? Über welche Zugriffswege verfügt der Angreifer wahrscheinlich? Welche Monitoring- und Beobachtungsmöglichkeiten sind vorhanden? Welche werden benötigt? Ist (wahrscheinlich) eine gerichtsfeste Dokumentation notwendig? 2 Analyse Im Rahmen der Vorfallsbehandlung werden weitere Analysen und Beobachtungen durchgeführt. Ziel ist mittelfristig das dauerhafte Aussperren des Angreifers (dazu bedarf es aber einer fundierten Analyse des Ausmaßes der Kompromittierung); anschließend die Unterstützung bei der Bereinigung und die Feststellung entstandener Schäden. Die Analysen können aus verschiedenen Untersuchungen bestehen: IT-Forensische Untersuchungen von betroffenen Client- und Serversystemen, Auswertung von Protokolldaten (z. B. Web-Proxy, Firewall-Logs, Betriebssystem- und Anwendungslogs, ), Netzwerkforensik, Malware-Analyse (dynamische und statische Analyse evtl. eingesetzter Schadsoftware), Recherche zum tatsächlichen Aufbau der Infrastruktur und zur Konfiguration von Firewalls und ähnlichen Systemen zum Zeitpunkt des Angriffs Die Ergebnisse jeder Analysephase sind dabei neben direkten Erkenntnissen über den Angreifer und den Schaden weitere Anhaltspunkte und Signaturen ( Indicators of Compromise ), anhand derer weitere Ermittlungen durchgeführt werden können. Dafür werden bestehende Protokollierungs- und Beobachtungssysteme des Auftraggebers genutzt oder neue Beobachtungsmöglichkeiten speziell geschaffen. Wenn der Angreifer noch aktiv ist, sollte er die Beobachtung nicht bemerken, um Gegenmaßnahmen (Vertuschung und Löschen von Spuren, aktive Gegenangriffe) zu vermeiden. Daher sollten aktive Maßnahmen wie Netzwerksperrungen, Bereinigungen von Systemen, Passwortwechsel etc. erst dann durchgeführt werden, wenn die Analyse abgeschlossen ist und die Bereinigung als Gesamtschritt möglich ist. Dies unterstützt das Ziel die Angriffskampagne zu erkennen und verhindert mögliche Schäden durch zerstörerische Aktionen des Angreifers. Die Analysephase läuft daher anfangs exklusiv und nicht parallel zur Aussperrung und Bereinigung. 1 Bei APT-Angriffen ist i. d. R. von mehreren, gut organisierten Täterinnen und Tätern auszugehen. Aus Gründen der sprachlichen Vereinfachung wird im weiteren vereinfachend von dem Angreifer gesprochen. 2 Eine gerichtsfeste Dokumentation verursacht in der Regel einen höheren Aufwand; da allerdings die Entscheidung gegen eine gerichtsfeste Dokumentation nicht mehr nachträglich korrigierbar ist, muss ein Minimum an Dokumentation bei der Erfassung und Analyse immer vorhanden sein. Version 1.00 vom Seite 2 von 11
3 Aussperren Der Angreifer kann nur ausgesperrt werden, sobald möglichst genau geklärt ist, über welche Zugriffswege er verfügt, und ob ein erneutes Eindringen erkannt und nachvollzogen werden kann. Neben der Unterstützung bei der technischen Umsetzung berät der Dienstleister den Auftraggeber auch über mögliche betriebliche Risiken der Maßnahmen und sorgt für eine koordinierte Umsetzung. Bereinigung Auch nach der Aussperrung werden die Analysen und Beobachtungen fortgeführt, um das Ausmaß des Schadens besser bestimmen, und um ein erneutes Eindringen identifizieren zu können. Auf der Basis der Analyseergebnisse unterstützt der Dienstleister den Auftraggeber bei der Erstellung eines Plans zur Wiederherstellung des Normalbetriebs und bei der vollständigen Säuberung der Systeme. Die Art der Säuberung hängt dabei von den spezifischen Untersuchungsergebnissen ab. Üblicherweise werden Systeme, die unter direkter Kontrolle des Angreifers standen, neu aufgesetzt. Der Dienstleister unterstützt den Auftraggeber bei der Abwägung und Risikobeurteilung, auf Wunsch auch bei der Umsetzung der Säuberungsmaßnahmen. Weitere Untersuchungen und Beratung In Absprache mit dem Auftraggeber können nach der Bereinigung noch weitere Fragestellungen untersucht werden. Dazu gehören unter anderem: Bestimmung des Schadenausmaßes: Von welchen Informationen hat der Angreifer Kenntnis erhalten? Lassen sich Systeme und Daten abgrenzen, die vom Angriff nicht betroffen waren? Welche Empfehlungen zum weiteren Vorgehen lassen sich aus den Untersuchungserkenntnissen ableiten? Neben den konkreten Lücken und Hintertüren, die in der Bereinigung unschädlich gemacht werden, decken die Untersuchungen häufig auch strukturelle Mängel in der Sicherheitsarchitektur auf. 1.3 Aufgabenbereiche bei einem Response-Projekt Ein Response-Projekt deckt damit verschiedene Aufgabenbereiche ab, die jeweils eigene Qualifikationen benötigen. Ermittlungsleitung Bei einem APT-Vorfall ist meist eine größere Zahl von Systemen innerhalb einer Institution sowie bei deren Partnern (Outsourcingprovidern, Dienstleistern, verbundenen Unternehmen) betroffen. In einem Response-Projekt müssen daher das Vorgehen und die Unterstützung mit vielen internen und externen Ansprechpartnern abgestimmt werden. International wird diese Tätigkeit im Rahmen der Incident Response auch als Incident Manager ( ENISA Good Practice Guide for Incident Management ) oder Incident Lead (NIST SP ) bezeichnet. Dabei sollte die Ermittlungsleitung insbesondere auch die entsprechenden Datenschutzbestimmungen, denen die beauftragende Institution unterliegt, berücksichtigen und dafür Sorge tragen, dass sowohl alle Ansprechpartner als auch die eigenen Mitarbeiter über die Bestimmungen informiert werden. Des Weiteren sollte der Datenschutzbeauftragte sowie der Personal- bzw. Betriebsrat der beauftragenden Institution frühestmöglich über die geplanten Arbeiten informiert und in weitere Schritte eingebunden werden. Die Ermittlungsleitung koordiniert daher zum einen die Arbeit der Mitarbeiter im Ermitt- Version 1.00 vom Seite 3 von 11
4 lungsteam: 3 Kurzfristige Personaldisposition bei Einsatzbeginn und als Reaktion auf neue Erkenntnisse Beschaffung der nötigen Infrastruktur vor Ort Projektmanagement mit besonderem Fokus auf einen ständigen Informationsaustausch Darüber hinaus unterstützt die Ermittlungsleitung den Auftraggeber bei der Einschätzung und Koordination von weiteren Arbeiten: Regelmäßige Statusupdates ggf. in verschiedenen Detaillierungsgraden Regelmäßige Übersicht über noch vom Auftraggeber zu beschaffende Informationen, Systeme und Installationen Direkte Abstimmung mit Dienstleistern und Mitarbeitern des Auftraggebers in dessen Auftrag Sicherstellung der vereinbarten Vertraulichkeit Risikomanagement über die projektspezifischen Risiken In der Regel unterstützt der Ermittlungsleiter auch das Krisenmanagement. Die spezifischen Tätigkeiten im Krisenmanagement sind im Abschnitt Unterstützung beim Krisenmanagement beschrieben. Malware-Analyse Wird auf einem der Systeme verdächtige Software (Malware) gefunden, muss diese in einer gesicherten Umgebung analysiert werden. Die Analyse verfolgt mehrere Ziele: Bestimmung der Fähigkeiten der Malware, um das Ausmaß des Angriffs abschätzen zu können und Komponenten und Systeme für die Bereinigung zu bestimmen Ableiten von Indikatoren für einen Befall (Indicators of Compromise, IOC), damit weitere Systeme systematisch auf die Malware untersucht werden können Sammeln von Indizien für die Herkunft der Malware und damit möglicherweise des Angriffs Da in einem APT-Vorfall üblicherweise speziell für den Angriff zusammengestellte Malware zum Einsatz kommt, ist eine automatisierte Prüfung mit externen Malwareerkennungssystemen nicht ausreichend. Zudem verbieten Anforderungen an die Vertraulichkeit häufig die Übermittlung von verdächtigen Dateien an Dritte; auch weil dadurch eine frühzeitige Warnung des Angreifers nicht ausgeschlossen werden kann. Bei der Analyse werden in der Regel die folgenden Techniken eingesetzt: Ausführen in einer gesicherten Umgebung (Sandbox, dynamische Analyse) Analyse des Programmcodes durch Reverse Engineering (Disassemblieren, statische Analyse) Techniken, um Schutzmaßnahmen der Malware gegen diese Analysen zu umgehen Host-Forensik Systeme, die im Verdacht stehen, vom Angriff betroffen zu sein, werden mit den Mitteln der Host-Forensik untersucht. Im ersten Schritt müssen die zu analysierenden Daten erhoben werden. Die Datenakquise geschieht durch IT-forensische Abbilder des Hauptspeichers das nachvollziehbare Sicherstellen von Datenträgern und vollständigen Systemen IT-forensische Abbilder von Festplatten und anderen Speichermedien Sicherstellen von Protokolldaten und Datensicherungen Die konkrete Art der Datenakquise wird im Einzelfall unter Berücksichtigung der forensischen Fragestellung und der betrieblichen Anforderungen des Auftraggebers gewählt. Bei der Aufklärung von APT-Vorfällen ist eine gerichtliche Aufarbeitung des Angriffs meist nachrangig. Für eine gerichtsfeste Sicherstellung müssen aber direkt bei der Datenakquise 3 Das Ermittlungsteam kann gerade bei größeren Fällen auch Forensiker des betroffenen Unternehmens bzw. Mitarbeiter anderer Dienstleister des betroffenen Unternehmens umfassen, die mit koordiniert werden müssen. Version 1.00 vom Seite 4 von 11
5 Maßnahmen getroffen werden, insbesondere muss eine erweiterte Dokumentation geführt werden. Der IT-Dienstleister muss eine gerichtsfeste Dokumentation sicherstellen können. Forensische Fragestellungen der Analyse können unter anderem sein: Identifikation des initialen Infektionsweges Hinweise auf weitere betroffene Systeme und Nutzerkonten Muster bei der Vorgehensweise des Angreifers, die als Indikatoren für einen Befall (IOC) dienen können, um die Systeme systematisch auf Angriffsspuren untersuchen zu können Erkennbarer Datenabfluss Nachweise und Indizien für die Herkunft des Angriffs Da bei einem APT-Vorfall Systeme unterschiedlicher Hersteller mit verschiedenen Softwareinstallationen betroffen sein können, sollte der IT-Dienstleister neben der Windows-Plattform über plattformübergreifende Analysefähigkeiten verfügen. Netzwerkforensik Der Angriff kann auch durch Beobachtung des Netzwerkverkehrs nachvollzogen werden. Auch die Wirksamkeit der Gegenmaßnahmen kann auf dieses Weise überwacht werden. Als Ausgangspunkt für die Netzwerkforensik dienen Bereits installierte Beobachtungs- und Protokollierungssysteme Gesicherte Netzwerkprotokolldaten, soweit vorhanden Speziell für die Vorfallsbehandlung in das Netzwerk eingebrachte Beobachtungssysteme Bereits installierte oder neu aufgebaute Systeme, um die Beobachtungen zu sammeln und korreliert bewerten zu können Zu den Aufgaben der Netzwerkforensik gehören auch die Erhebung möglicher Datenquellen und die Identifizierung von zusätzlichen Beobachtungsmöglichkeiten zusammen mit dem Auftraggeber und dessen Dienstleistern. Die Mitarbeiter im Bereich Netzwerkforensik unterstützen den Auftraggeber bei der Umkonfiguration von bestehenden Systemen und beim Aufbau von neuen Systemen. Mit Hilfe der so erhobenen Daten können ähnliche forensische Fragestellungen wie bei der Host-Forensik beantwortet werden: Identifikation des initialen Infektionsweges (falls Daten aus dieser Zeit vorliegen) Aktuelle Vorgehensweise des Angreifers Hinweise auf weitere betroffene Systeme und Nutzerkonten Muster bei der Vorgehensweise des Angreifers, die als Indikatoren für einen Befall (IOC) dienen können, um die Systeme systematisch auf Angriffsspuren untersucht zu können Erkennbarer Datenabfluss Nachweise und Indizien für die Herkunft des Angriffs Spuren von neuerlichen Aktivitäten des Angreifers nach den ersten Gegenmaßnahmen und dem abschließenden Ausschluss Sicherheitsfokussierte Unterstützung im IT-Bereich Der Dienstleister unterstützt den IT-Betrieb des Auftraggebers dabei, Beobachtungsmöglichkeiten auszubauen, die ersten Gegenmaßnahmen einzuleiten und den Angreifer auszusperren. Erkenntnisse aus der Erstbegutachtung und der verschiedenen forensischen Analysen werden dafür speziell aufbereitet Der Vorfall und dessen Folgen werden unter Berücksichtigung der getroffenen Regeln zur Vertraulichkeit auch innerhalb des Unternehmens mit den IT-Mitarbeitern und Dienstleistern besprochen. Empfehlungen und Bewertungen für Erstmaßnahmen werden abgegeben Der Auftraggeber wird bei der koordinierten Aussperrung des Angreifers unterstützt. Version 1.00 vom Seite 5 von 11
6 Teilweise werden auch der Aufbau und der Betrieb von Systemen während der Vorfallsbehandlung übernommen. Basierend auf den identifizierten Indicators of Compromise werden Werkzeuge zur Verfügung gestellt, um alle Systeme des Auftraggebers systematisch auf Spuren des Angriffs prüfen zu können. Bereinigung betroffener Systeme Nach erfolgter Sicherung und Analyse der betroffenen Systeme müssen diese Systeme in einen bereinigten Zustand überführt werden. Der IT-Dienstleister unterstützt den Auftraggeber bei der Durchführung der notwendigen Tätigkeiten, z. B.: Neuaufsetzung der Systeme Einspielung von Backups Wechsel von Passwörtern Unterstützung beim Krisenmanagement Der Angriff, aber auch die Auswirkungen der Erstmaßnahmen, können den Geschäftsbetrieb massiv stören. Der IT-Dienstleister unterstützt den Auftraggeber auch durch Beratung zu notwendigen Entscheidungen und Prozessen Bewertung des Risikos für weitere Schäden Unterstützung bei der Kommunikation innerhalb des Unternehmens und mit Externen (beispielsweise Presse und Kunden) Unterstützung bei der Umsetzung eines Notbetriebs und geordneter Übergang wieder zurück zum Normalbetrieb Unterstützung bei der Einberufung und Organisation eines Krisenstabs 1.4 Rollen Die Themenbereiche bei dem Response-Projekt bilden sich direkt auf mögliche Rollen ab. Die Grenzen werden anhand der vorherigen Aufgabenbeschreibungen gezogen, sodass sich aus den erforderlichen Wissensgebieten und Erfahrungen abgeschlossene Rollenprofile ergeben. Dabei sind üblicherweise mehrere der Themenbereiche in einer Person vereint: Ermittlungsleiter (organisatorisch -technisch) IT-Sicherheitsspezialist (technisch -organisatorisch) Krisenmanager (organisatorisch) Malware-Analyst (technisch) Host-Forensiker (technisch) Netzwerkforensiker (technisch) Je nach Art des Vorfalls werden nicht alle Rollen benötigt. Der Bedarf entwickelt sich jedoch oftmals erst während der fortschreitenden Analyse des Angriffs. Dabei können einzelne Personen auch mehrere im Extremfall alle Rollenprofile abdecken. Die Rollen bilden die Grundlage für die Kompetenzanforderungen, wie sie in 2 beschrieben werden. 1.5 Optional: APT-Hunting Besteht bisher lediglich der Verdacht auf einen Angriff, oder soll präventiv nach Indizien für eine Kompromittierung gesucht werden, kann APT-Hunting zum Einsatz kommen, um so Klarheit über einen ggf. erfolgten gezielten Angriff zu erlangen. Dabei sollte der Dienstleister in der Lage sein große Datenmengen zu analysieren, ohne sich in diesem Fall ausschließlich auf automatisierte Techniken und Signaturen zu verlassen. Eine schnelle Einschätzung stellt hierbei das Ziel dar, um bei einem tatsächlich stattfindenden Angriff die geeigneten Gegenmaßnahmen einzuleiten, wie sie in 1.2 dargestellt werden. Version 1.00 vom Seite 6 von 11
7 2 Kriterien APT-Response-Dienstleister müssen die folgenden personellen, organisatorischen und technischen Voraussetzungen erfüllen: 2.1 Personelle Voraussetzungen des Teams Der Dienstleister definiert ein Kernteam von Personen, welches bei einem APT-Vorfall schnell einsatzbereit sein muss. Die Personen im Kernteam des Dienstleisters müssen als Team alle in den folgenden Unterabschnitten geforderten Eigenschaften und Fachkenntnisse mitbringen. Grundlegende persönliche Eigenschaften Die folgenden persönlichen Eigenschaften sind Grundlage aller Rollen: Teamfähigkeit Unbeeinflussbarkeit und Unvoreingenommenheit Fähigkeit, Vertraulichkeit der im Projekt gewonnenen Erkenntnisse gegenüber Dritten zu wahren Unbestechlichkeit Integrität Zielorientiertes Denken und Handeln Ausgeprägte analytische Fähigkeiten Fähigkeit zur sachlichen Ergebnisdarstellung (Trennung von Fakten und Vermutungen) Bereitschaft zur Weiterbildung Belastbarkeit Beherrschung der deutschen und gute Kenntnisse der englischen Sprache Ermittlungsleiter Der Ermittlungsleiter muss zusätzliche persönliche Eigenschaften mit sich bringen: Fähigkeit zur Team-Leitung Fähigkeit zur Koordination verschiedener Dienstleister Fähigkeit zur laufenden, sachlichen und zielgruppenorientierten Kommunikation Erstellen von Lagebildern Zielgruppengerechte Darstellung technischer Fakten, auch gegenüber technischen Laien Bewertung des Sachverhalts Darlegung notwendiger Maßnahmen Managen von Konflikten Überzeugungsfähigkeit Für die Ausübung der Rolle sind folgende Kenntnisse und Erfahrungen notwendig: Praktische Berufserfahrung in der Vorbereitung und Durchführung von Response-Projekten in einer (mit)verantwortlichen Rolle sowie Berufserfahrung in mindestens einer der technischen Rollen Personaldisposition Risikomanagement über die projektspezifischen Risiken Datenschutzbestimmungen IT-Sicherheitsspezialist Der IT-Sicherheitsspezialist muss zusätzlich umfassende Kenntnisse aus dem Bereich der ITund Informationssicherheit in den folgenden Bereichen aus praktischer Berufserfahrung mit sich bringen, vor allem auch: Kenntnisse im Bereich der Systemadministration: Oft müssen kurzfristig Maßnahmen im Netz Version 1.00 vom Seite 7 von 11
8 des Betroffenen umgesetzt werden, z. B. um den Angreifer auszuschließen, um hinterlassene Hintertüren zu schließen, zusätzliche Beobachtungsmöglichkeiten zu schaffen, oder mehr Informationen einzusammeln. Oft fehlt dazu Know-how beim Kunden, sodass er unterstützt werden muss. Dazu ist es unerlässlich, Vorgehen, Prozesse und Werkzeuge im Bereich der Systemadministration zu kennen. Betriebssystemspezifische Kenntnisse im Bereich Windows (insbesondere Domänenstrukturen und Gruppenrichtlinien) und Linux (im Serverbereich) Kenntnisse im Bereich des Sicherheitsmanagements: Standardansätze zum Informationssicherheitsmanagement (u.a. ISO ff., BSI-Grundschutz) müssen bekannt sein. Kenntnisse im Bereich von IT-Sicherheitsprodukten: Der IT-Sicherheitsspezialist muss in der Lage sein, Beratung zur gezielten Konfiguration und Einsatz bestehender bzw. neuer IT-Sicherheitsprodukte, z.b. Intrusion Detection, Firewall, Anti Virus, im Rahmen des Response-Projekts zu geben. Krisenmanager Der Krisenmanager muss zusätzliche persönliche Eigenschaften mit sich bringen: Beherrschung von Moderationstechniken Gute organisatorische Fähigkeiten Fähigkeit zur Behandlung von Einwänden Fähigkeit zum Managen von Konflikten Überzeugungsfähigkeit Der Krisenmanager benötigt Kenntnisse und praktische Erfahrung im Bereich des Krisenmanagements. Kenntnisse im Öffentlichkeitsmanagement Malware-Analyst Der Malware-Analyst muss zusätzlich vor allem über die folgenden praktischen Kenntnisse im Bereich der Malware-Analyse verfügen: Statische Analyse: Analyse von Binary-Formaten; Code-Analyse; Umgang mit Binary Packern, AV-Scannern, Disassemblern und gängigen Software-Tools zur statischen Analyse Dynamische Analyse: Untersuchung verdächtiger Software in kontrollierter Umgebung unter einem Debugger, Instrumentieren einer Sandbox-Umgebung, Umgang mit üblichen Software-Tools zur dynamischen Analyse. Speicherforensik: Aufnahme und Analyse von Speicherabbildern Betriebssysteminterna: Gute Kenntnisse von Betriebssysteminterna gängiger Betriebssysteme bilden die Grundlage für die Beurteilung der Funktion und Auswirkungen von Schadsoftware. Von Malware genutzte API-Funktionen geben meist erste Hinweise auf den Charakter einer Software. Programmiersprachen: Kenntnis gängiger Programmier- und Skriptsprachen, auch Assemblersprachen, ist Grundlage für die Beurteilung der Funktion der Malware. Host-Forensiker Der Host-Forensiker benötigt zusätzlich genaue Kenntnisse seiner Werkzeuge und ausreichende Praxis: Forensische Beweissicherung: Erfahrung in den Grundlagen forensischer Beweissicherung, Dokumentation und Nachweis (z. B. durch kryptographische Prüfsummen). Forensische Datensicherung: Erfahrung im Erstellen forensischer Abbilder von Speichermedien (vor allem Festplatten und SSDs) in verschiedenen Umgebungen. Dies umfasst insbesondere Kenntnisse der Live -Sicherung, Sicherung in verschiedenen Virtualisierungsumgebungen, Sicherung bei laufenden Systemen. Live-Akquise : Vitale Daten können nur zur Laufzeit erhoben werden. Daher ist die Erstellung von Hauptspeicherabbildern, die Aufnahme von Prozess- und Netzwerkinformationen, erforderlich. Forensische Analyse: Es müssen sichere Kenntnisse über übliche Dateisysteme und Betriebssysteme vorhanden sein. Notwendig ist der sichere Umgang mit ein oder mehreren integrierten forensischen Untersuchungsumgebungen sowie forensischen Tools für die Auswertung häufiger Spuren (z. B. Windows-Registry, Browserhistorie, Mail, Systemlogs usw.). Kenntnisse in der Analyse Version 1.00 vom Seite 8 von 11
9 von Protokolldaten und zugehöriger Softwaretools werden ebenfalls benötigt. Betriebssysteminterna: Gute Kenntnisse von Betriebssysteminterna gängiger Desktop-, Server- und mobiler Betriebssysteme bilden die Grundlage für die Analyse forensischer Artefakte auf den untersuchten Systemen. Der Umgang mit üblichen Log- und Monitoring-Formaten (Windows Eventlog, Syslog) ist notwendig. Kenntnisse häufig genutzter Anwendungen sollten ebenfalls vorhanden sein. Lateral-Movement: Erfahrungen mit der Analyse von Lateral-Movement. Unter Lateral-Movement versteht man Techniken, mit dem es einem Angreifer ermöglicht wird Zugriff und Kontrolle über Remote-Systeme im Netzwerk zu erlangen. Mit der Hilfe der Techniken wird dabei ein Angreifer in die Lage versetzt, Informationen von Systemen zu erhalten, ohne zusätzliche Remote-Access-Tools einsetzen zu müssen. Netzwerkforensiker Der Netzwerkforensiker muss zusätzlich vor allem folgende praktische Kenntnisse mit sich bringen: Gute Kenntnisse im Bereich Netzwerkprotokolle (TCP/IP), Umgang mit Protokolldekodern und Auswertungssoftware für große Datenmengen Kenntnisse im Bereich von Netzwerkgeräten (Router, Switches) sowie IT-Sicherheitsprodukten im Netzbereich (z. B. Firewalls, IDS, usw.) Programmiersprachen: Kenntnis gängiger Programmier- und Skriptsprachen Firewall-Analyse: Auswertung der Log-Daten der Firewall Lateral-Movement (siehe Host-Forensiker) Weitere unterstützende Rollen Im Rahmen eines Response-Projektes werden weitere Rollen benötigt, die durch den IT- Dienstleister besetzt, besser jedoch durch die betroffenen Stellen selbst abgedeckt werden sollten: Zugriff auf IT-Sicherheit und auf Einsatzunterstützung spezialisierte Juristen Zugriff auf Kommunikationsberatungsunternehmen für die Krisenkommunikation mit der Öffentlichkeit und Kunden / Partnern 2.2 Organisatorische Voraussetzungen Der Dienstleister muss zur Vorbereitung zukünftiger Einsätze bereits vorbereitende Maßnahmen treffen, um die zeitaufwändigen Arbeiten in der Einsatzphase bestmöglich zu unterstützen. Dazu gehören: Vorlagen für Berichte und Dokumentationen Muster bzw. teilvorausgefüllte Auftragsdatenverarbeitungserklärungen Auflistung der betroffenen Systeme sowie Artefaktsammlung Mustervorgehensweise zur Managementberatung Grundlagenvortrag zum Thema APT für das Management, den Personalrat und Hinweise zum Datenschutz mit allgemeinen Punkten sowie Maßnahmen zum Vorgehen. Vorbereitung für die Zusammenarbeit mit Dritten Teams Geeignete Quellen für Indicators of Compromise (IOC) müssen verfügbar sein Des Weiteren muss sichergestellt sein, dass sowohl die Ausrüstung als auch die Personen des Kernteams schnell zum Einsatzort gelangen könnten. Entsprechende Transportmöglichkeiten sollten Vorgehalten werden oder kurzfristig zur Verfügung stehen. 2.3 Technische Voraussetzung für Host-Forensik, Netzwerkforensik und Malware-Analyse IT-Forensisches Labor Der IT-Dienstleister muss über die notwendigen technischen Voraussetzungen zur Durchführung von forensischen Untersuchungen verfügen. Dazu gehört ein separates IT-forensisches Labor mit der Möglichkeit zur manipulationsgeschützen Akquise von Daten und zur nachvoll- Version 1.00 vom Seite 9 von 11
10 ziehbaren forensischen Analyse der Daten: Mindestens für folgende Aktivitäten müssen entsprechende Hard- bzw. Software im Labor bereitstehen und die Mitarbeiter für den fachkundigen Einsatz ausreichend geschult sein: Schreibgeschütztes Kopieren von Datenträgern (Festplatten, Solid State Disks) Erstellen von Abbildern des Hauptspeichers unter gängigen Betriebssystemen Erstellung und Prüfen von kryptographischen Hashwerten für einzelne Dateien und Abbilder von Festplatten Wiederherstellen von gelöschten Daten in gängigen Dateisystemen Extraktion von Metadaten aus gängigen Dateisystemen, gelöschten Fragmenten und Dateien Analyse von Protokolldaten (textuelle Formate und Binärformate) Indizierung und effiziente Suche in den sichergestellten Daten Entschlüsselung von Festplatten und Dateien soweit die nötigen Schlüssel vom Auftraggeber zur Verfügung gestellt werden Rekonstruktion von verschleierten Daten zum Beispiel durch Brechen von einfachen Verschlüsselungen mit leicht erratbaren Passwörtern (Wörterbuchangriffe) Protokollierung der durchgeführten Analyseschritte Die Ausstattung muss die Analyse verschiedener Systeme ermöglichen, dabei sollten die aktuell gebräuchlichsten Hard- und Software-Kombinationen abgedeckt werden. Labor zur Malware-Analyse Der IT-Dienstleister muss über die notwendigen technischen Voraussetzungen zur Analyse von Malware verfügen. Dazu gehört ein Labor mit der Möglichkeit, Malware in einer geschützten Umgebung auszuführen (dynamische Analyse) sowie durch Reverse Engineering (Disassemblierung, statische Analyse) analysieren zu können. Mindestens für folgende Aktivitäten müssen entsprechende Hard- bzw. Software bereitstehen und die Mitarbeiter für den fachkundigen Einsatz ausreichend geschult sein: Geschützte Umgebung zum Ausführen und Beobachten von Malware unter verschiedenen Betriebssystemen Schrittweises Ausführen und Manipulieren der Ausführung der Malware (Debugging) Umgehung von Abwehrtechniken der Malware gegen die Analyse (Antidebugging-Techniken, Virtualisierungserkennung) Disassemblierung der Malware und statische Analyse Rekonstruktion von sich selbst entpackenden und modifizierenden Programmen Ableitung von Indikatoren für einen Befall (IOC) Rekonstruktion von verschleierten Daten zum Beispiel durch Brechen von einfachen Verschlüsselungen mit leicht erratbaren Passwörtern durch systematisches Ausprobieren (Wörterbuchangriffe) Protokollierung der durchgeführten Analyseschritte Die Ausstattung muss die Analyse verschiedener Systeme ermöglichen, dabei sollten die aktuell gebräuchlichsten Betriebssysteme abgedeckt werden. Mobil einsetzbare Ausstattung Der IT-Dienstleister muss über die notwendigen technischen Voraussetzungen zur Durchführung von forensischen Untersuchungen bei dem Auftraggeber vor Ort verfügen. Dazu gehört mindestens eine ausreichende mobile Ausstattung, um die Datenakquise vor Ort durchführen zu können. Mindestens für folgende Aktivitäten muss entsprechende Hard- bzw. Software bereitstehen, die kurzfristig beim Auftraggeber eingesetzt werden kann, und die Mitarbeiter für den fachkundigen Einsatz ausreichend geschult sein: Schreibgeschütztes Kopieren von Datenträgern Version 1.00 vom Seite 10 von 11
11 Erstellen von Abbildern des Hauptspeichers Erstellung und Prüfen von kryptographischen Hashwerten für einzelne Dateien und Abbilder von Festplatten Analyse des laufenden Systems unabhängig von der darauf installierten, möglicherweise manipulierten Software Einsatz hostbasierter Analysetools Protokollierung der durchgeführten Analyseschritte Analyse des Netzwerkverkehrs und von Protokolldaten Berücksichtigung datenschutzrechtlicher Anforderungen im Rahmen der Durchführung o.g. Tätigkeiten Hostbasierte Suche (Scan-Tools, AV,...) Die Ausstattung muss die Analyse verschiedener Systeme ermöglichen, dabei sollten die aktuell gebräuchlichste Hardware sowie die aktuellen Betriebssysteme und Netzwerktechnologien abgedeckt werden. Hostbasierte Suche Der Dienstleister sollte über Fähigkeiten verfügen, hostbasierte Indikatoren in einem großen Netzwerk mit vielen Systemen suchen zu können. Idealerweise besitzt er bereits a priori vor dem APT-Vorfall einen großen Satz an generischen und gruppenspezifischen Indikatoren. Dokumentation Darüber hinaus sind vom kompromittierten Netz unabhängige Kommunikations- und Arbeitsmöglichkeiten mitzubringen. Hierzu gehören auch vorbereitete Dokumentationstools und Vorlagen. Diese müssen Schnittstellen für ggf. weitere, durch den Arbeitgeber bereitgestellte Teams haben. 3 Weiterführende Informationen Die BSI-Empfehlung Schützen Sie sich vor professionellen gezielten Cyber-Angriffen 4 zeigt die Gefahren auf, welche durch professionelle Angreifer entstehen können, und behandelt mögliche Schutzmaßnahmen, um sich gegen diese Angriffe zu schützen. Sollte der Verdacht auf einen APT-Angriff bestehen, stellt die BSI-Empfehlung Erste Hilfe bei einem APT-Angriff 5 ein Notfalldokument dar, welches von IT-Sicherheitsbeauftragten, CISOs und Systemadministratoren für erste Reaktionen genutzt werden kann Version 1.00 vom Seite 11 von 11
Incident Response und Forensik
Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten
MehrKann Big Data Security unsere IT-Sicherheitssituation verbessern?
Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de
MehrDepartement Wirtschaft. IT Forensics in action against malicious Software of the newest generation
Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer
MehrIT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.
IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit
MehrFighting Cybercrime - Digitale Kriminalistik
Fighting Cybercrime - Digitale Kriminalistik Öffentliche Vorlesung am 26. Juni 2009 Kriminalhauptkommissar Fighting Cybercrime - Digitale Kriminalistik Agenda 202 c StGB - Bedeutung für die Praxis (Hackerwerkzeuge)
MehrLogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc
LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn
MehrPersonal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte
Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer
MehrAvira Professional / Server Security. Date
Date Agenda Wozu benötige ich einen Virenschutz für Workstations/Server? Systemanforderungen der Avira Professional Security Was bietet die Avira Professional Security? Systemanforderungen der Avira Professional
MehrBusiness und Enterprise Cloud Sync, Backup- und Sharing-Lösungen
Business und Enterprise Cloud Sync, Backup- und Sharing-Lösungen Private Cloud Synchronisation Online-Zusammenarbeit Backup / Versionierung Web Zugriff Mobiler Zugriff LDAP / Active Directory Federated
MehrTH0R Triage APT Forensic Scanner
TH0R überprüft als sogenannter vollautomatisch Ihre Windows- sowie Linux-Serversysteme auf typische Spuren, die Hacker bei Angriffen hinterlassen, beispielsweise: Signaturen von Viren, Backdoors und Trojanern.
MehrSecurity Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung
Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!
MehrRolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001
Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen
MehrPenetrationstest Intern Leistungsbeschreibung
Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung
MehrDeep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon
Deep Security Die optimale Sicherheitsplattform für VMware Umgebungen Thomas Enns -Westcon Agenda Platformen Module Aufbau Funktion der einzelnen Komponenten Policy 2 Platformen Physisch Virtuell Cloud
MehrPenetrationstest Extern Leistungsbeschreibung
Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung
MehrFAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH
FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen
MehrSophos Virenscanner Konfiguration
Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg
MehrCompliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc
Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen
MehrIntrusion Detection Systeme. Definition (BSI) Alternative Definition IDS
Intrusion Detection Systeme IDS 1 Definition (BSI) Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen
MehrIDS Intrusion Detection Systems
IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion
MehrProduktbeschreibung Penetrationstest
Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu
MehrIT-SECURITY. Detect. Act. Protect.
Oktober 2015 IT-SECURITY Detect. Act. Protect. Security-Plattform für SAP 360 0 Sicherheit EDR-Technologie Security, die mitdenkt IT Blackout Deep Security Sicherung privilegierter Benutzerkonten Assessment
MehrCyber-Sicherheits- Check
-MUSTER- -MUSTER- Muster-Beurteilungsbericht zum Cyber-Sicherheits- Check der Beispiel GmbH Januar 2014 1. Rahmendaten Beurteilungsgegenstand Beurteiler Anlass Grundlagen und Anforderungen Zeitlicher Ablauf
MehrKASPERSKY SECURITY FOR VIRTUALIZATION 2015
KASPERSKY SECURITY FOR VIRTUALIZATION 2015 Leistung, Kosten, Sicherheit: Bessere Performance und mehr Effizienz beim Schutz von virtualisierten Umgebungen AGENDA - Virtualisierung im Rechenzentrum - Marktübersicht
MehrELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen
ELIT2012: Security Security: Potentielle Gefahren und Gegenmaßnahmen Gefahrenquellen Brute-Force-Logins Scans Exploits Malware: Viren, Würmer, Trojaner Website-Hijacking DOS, DDOS Gefahrenquellen Internet
MehrKundenanforderungen. Hochschule Luzern Technik & Architektur. Software Komponenten FS13. Gruppe 03 Horw, 24.05.2013
Software Komponenten FS13 Gruppe 03 Horw, 24.05.2013 Bontekoe Christian Estermann Michael Moor Simon Rohrer Felix Autoren Bontekoe Christian Studiengang Informatiker (Berufsbegleitend) Adresse Telefon
MehrForensische Analyse von Windows-Systemen BSI 2. IT-Grundschutz-Tag 2012 29.3.2012
Forensische Analyse von Windows-Systemen BSI 2. IT-Grundschutz-Tag 2012 29.3.2012 Forensik von Windows-Systemen in 30 Minuten Windows 7 Windows 2008 R2 Bitlocker Quelle: Microsoft 2012, HiSolutions AG
MehrNeuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it
Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter
MehrWelcome to Sicherheit in virtuellen Umgebungen
Welcome to Sicherheit in virtuellen Umgebungen Copyright Infinigate 1 Inhalt Sicherheit in virtuellen Umgebungen Was bedeutet Virtualisierung für die IT Sicherheit Neue Möglichkeiten APT Agentless Security
MehrLange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?
Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und
MehrWin7Deploy Seite 2 von 17. Was ist Win7Deploy?
Win7Deploy Seite 1 von 17 Win7Deploy Eine einfache, passgenaue und kostengünstige Lösung um Windows 7 in Ihrem Unternehmen einzuführen [ www.win7deploy.de ] Ablauf einer Win7Deploy Installation am Beispiel
MehrDie neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH
Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log
MehrIntrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005
Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion
MehrAktuelle Themen der Informatik Daniel Renoth CN 8
HFU Furtwangen Aktuelle Themen der Informatik Daniel Renoth CN 8 Agenda 1. Definition Rootkit? 2. Historie 3. Szenario 4. Funktionalität 5. Arten von Rootkits HFU Furtwangen - Aktuelle Themen der Informatik
Mehr9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),
9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet
MehrÜberprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7
BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung
MehrInformationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de
Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0
MehrNetwork Security Management als flexible und modulare Managed Service Leistung ohne dabei die Kontrolle zu verlieren
Network Security Management als flexible und modulare Managed Service Leistung ohne dabei die Kontrolle zu verlieren 9. Cyber- Sicherheits- Tag der Allianz für Cyber- Sicherheit Frankfurt am Main, 16.06.2015
MehrW32Lovsan Vorfall. Ursachen Lehren Maßnahmen. 17.9.2003, Dietrich Mönkemeyer, D4
W32Lovsan Vorfall Ursachen Lehren Maßnahmen 17.9.2003, Dietrich Mönkemeyer, D4 Übersicht Schwachstelle(n) und Wurm Vorfall Infektionsweg Lehren Maßnahmen 2 Schwachstelle(n) und Wurm DCOM-Schwachstelle
MehrAdvanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12.
Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit Uwe Bernd-Striebeck RSA Security Summit München, 12. Mai 2014 Security Consulting Planung und Aufbau von Informationssicherheit
MehrUNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte
UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,
MehrSelbstverteidigung im Web
An@- Hacking- Show Selbstverteidigung im Web Marcel Heisig Norman Planner Niklas Reisinger am 27.10.2011 1 Inhalt der Veranstaltung Live- Vorführung gängiger Angriffsszenarien Schutzmaßnahmen Diskussion
MehrCheckliste Installation. Novaline Bautec.One
Checkliste Installation Novaline Bautec.One Juli 2013 Inhaltsverzeichnis Neuinstallation Einzelplatz - Start ohne Daten... 3 Einplatz System Mit / Ohne SQL Server installieren... 3 Einplatz / Mehrplatz
MehrDeutsches Forschungsnetz
Deutsches Forschungsnetz IT-Sicherheit in Hochschulrechenzentren - Aktuelle Neuigkeiten & Blick in die (nahe) Zukunft - Marcus Pattloch (sicherheit@dfn.de) ZKI Herbsttagung Ilmenau - 14.9.2005 Inhalt Teil
MehrCustom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen
Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Petra Flessa Product Marketing Manager DACH it-sa 2013 10/4/2013 Copyright 2013 Trend Micro
Mehr3 Firewall-Architekturen
Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen
MehrHacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004
Hacker Methoden für den Angriff auf IT-Systeme Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:
MehrKonfiguration von Sophos Anti-Virus für Windows
Konfiguration von Sophos Anti-Virus für Windows Diese Konfigurationsanleitung beschreibt die grundlegenden Einstellungen von Sophos Anti-Virus. Bei speziellen Problemen hilft oft schon die Suche in der
MehrCyber-Sicherheits-Exposition
BSI-Veröffentlichungen zur Cyber-Sicherheit EMPFEHLUNG: MANAGEMENT Cyber-Sicherheits-Exposition Voraussetzung für eine wirksame Absicherung von Netzen und IT-Systemen in Unternehmen, Behörden und anderen
MehrIT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.
IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit
Mehr4. Optional: zusätzliche externe Speicherung der Daten in unserem Rechenzentrum
KMU Backup Ausgangslage Eine KMU taugliche Backup-Lösung sollte kostengünstig sein und so automatisiert wie möglich ablaufen. Dennoch muss es alle Anforderungen die an ein modernes Backup-System gestellt
Mehr2 Ablauf von Angriffen 29
xi Einleitung 1 Wer sollte dieses Buch lesen?............................. 2 Was lernt man in diesem Buch?........................... 4 Was lernt man in diesem Buch nicht?....................... 4 Wie
MehrSommerakademie 2009. Arbeitnehmer Freiwild der Überwachung? Ein Blick in die Giftkiste: Überwachung an Büroarbeitsplätzen. Herr Sven Thomsen, ULD
Sommerakademie 2009 Arbeitnehmer Freiwild der Überwachung? Infobörse 2: Ein Blick in die Giftkiste: Überwachung an Büroarbeitsplätzen Herr Sven Thomsen, ULD Angriff! 2 Mitarbeiterüberwachung ist Angriff!
MehrTrend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH
Trend Micro Deep Security Tobias Schubert Pre-Sales Engineer DACH Trends in Datenzentren Schutz von VMs VMsafe Der Trend Micro Ansatz Roadmap Virtual Patching Trends in Datenzentren Schutz von VMs VMsafe
MehrComputer Forensik. Lerneinheit 1: Einführung. Prof. Dr. Christoph Karg. Studiengang Informatik Hochschule Aalen. Wintersemester 2013/2014.
Computer Forensik Lerneinheit 1: Einführung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2013/2014 24.10.2013 Übersicht Übersicht Ziel dieser Lerneinheit ist es, eine
MehrUpgrade auf die Standalone Editionen von Acronis Backup & Recovery 10. Technische Informationen (White Paper)
Upgrade auf die Standalone Editionen von Acronis Backup & Recovery 10 Technische Informationen (White Paper) Inhaltsverzeichnis 1. Über dieses Dokument... 3 2. Überblick... 3 3. Upgrade Verfahren... 4
MehrUpgrade Anleitung von Windows Vista auf Windows 7
Upgrade Anleitung von Windows Vista auf Windows 7 Übersicht: Upgrade von Windows Vista auf eine entsprechende Windows 7 Version : Es stehen ihnen zwei Möglichkeiten zur Verfügung um von Windows Vista auf
MehrWindows 8 Lizenzierung in Szenarien
Windows 8 Lizenzierung in Szenarien Windows Desktop-Betriebssysteme kommen in unterschiedlichen Szenarien im Unternehmen zum Einsatz. Die Mitarbeiter arbeiten an Unternehmensgeräten oder bringen eigene
MehrIT-Organisation Superuser und Local Support
IT-Organisation Superuser und Local Support Inhalt VORWORT... 2 DEFINITION DER VORAUSSETZUNGEN... 3 ORGANISATION... 4 DEFINITION DES SUPERUSERS... 5 KOMPETENZABGRENZUNG... 6 AUFGABEN DES SUPERUSERS...
MehrPraktikum IT- Sicherheit
Praktikum IT- Sicherheit - Versuchshandbuch - Durchführung Honeypot Ein Honeypot stellt ein System dar, um Angriffe, das Verhalten von Malware und weitere Angriffsaktivitäten aufzuzeichnen zu können. Die
MehrWarnung vor Verschlüsselungs-Trojanern
LeoSandelStr. 1 78628 RottweilGöllsdorf Internet: www.swnit.de Warnung vor VerschlüsselungsTrojanern Leiten Sie dieses Dokument umgehend an alle Mitarbeiter und Kollegen weiter und sorgen Sie dafür, dass
MehrAV-TEST. Sicherheitslage Android
AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER
Mehrhttp://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/
Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des
MehrQuick Guide. Installation SeeTec Version 5-1 -
Quick Guide Installation SeeTec Version 5-1 - Inhaltsverzeichnis 1. Installation der SeeTec Software...3 1.1 Hinweise zur Installation...3 2. Standardinstallation (Server und Client)...3 2.1 SeeTec Administration
MehrInstallation DynaStrip Network
Installation DynaStrip Network Dieses Dokument richtet sich an Personen, die für die Einrichtung von Mehrfachlizenzen im Netzwerk verantwortlich sind. Die Installation von Dynastrip Network bietet Informationen
MehrDell Client Management Pack-Version 6.0 für Microsoft System Center Operations Manager Installationsanleitung
Dell Client Management Pack-Version 6.0 für Microsoft System Center Operations Manager Installationsanleitung Anmerkungen, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG liefert wichtige Informationen,
MehrMobile Security. Astaro 2011 MR Datentechnik 1
Mobile Astaro 2011 MR Datentechnik 1 Astaro Wall 6 Schritte zur sicheren IT Flexibel, Einfach und Effizient Enzo Sabbattini Pre-Sales Engineer presales-dach@astaro.com Astaro 2011 MR Datentechnik 2 Integration
MehrStuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München
Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding
MehrAktive Schnittstellenkontrolle
Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2
MehrBei Truecrypt handelt es sich um ein Open-Source Verschlüsselungs-Programm, das unter folgendem Link für verschiedene Plattformen verfügbar ist:
Selbstdatenschutz Dropbox & Co. sicher nutzen "MEO - My Eyes Only" Um Unbefugten (inklusive dem Betreiber des Dienstes) die Einsicht in Dateien in Clouddiensten zu verwehren, sollte man diese verschlüsseln.
MehrSurfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen
Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in
Mehrzur WinIBW Version 2.3
zur WinIBW Version 2.3 Stand: 14. Dezember 2001 18. Januar 2002 BW Installation (lokal) Technische Voraussetzungen Softwarebeschaffung Installation Start Pica-Schriften Probleme Technische Voraussetzungen
MehrIT-Service Flatrate: Wartung und Pflege zum Pauschalpreis. Wir geben Ihnen die Sicherheit, dass Ihre IT läuft! ICO Innovative Computer GmbH
IT-Service Flatrate: Wartung und Pflege zum Pauschalpreis Wir geben Ihnen die Sicherheit, dass Ihre IT läuft! Weitere Infos finden Sie unter www.ico.de/mits ICO Innovative Computer GmbH Zuckmayerstr. 15
MehrAnleitung zur Einrichtung einer ODBC Verbindung zu den Übungsdatenbanken
Betriebliche Datenverarbeitung Wirtschaftswissenschaften AnleitungzurEinrichtungeinerODBC VerbindungzudenÜbungsdatenbanken 0.Voraussetzung Diese Anleitung beschreibt das Vorgehen für alle gängigen Windows
MehrTobit2Exchange 2. Tobit2Exchange 2
Tobit2Exchange 2 Professionelle Anwendung für den einfachen, schnellen und zuverlässigen Datenexport von Tobit Servern nach Microsoft Exchange und Microsoft Outlook Ziele und Anforderungen Einfache, schnelle
MehrIntegriertes Management von Sicherheitsvorfällen
Integriertes Management von Sicherheitsvorfällen Stefan Metzger, Dr. Wolfgang Hommel, Dr. Helmut Reiser 18. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 15./16. Februar 2011 Leibniz-Rechenzentrum
MehrPenetrationstest Digitale Forensik Schulungen Live-Hacking
M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches
MehrMailStore Service Provider Edition (SPE)
MailStore Solutions MailStore Service Provider Edition (SPE) E-Mail-Archivierung für Service Provider Mit Hilfe der MailStore Service Provider Edition können Sie Ihren Kunden moderne E-Mail-Archivierung
MehrEffizienz Flexibilität und Agilität Kosten senken Betriebsaufwand Konsolidierung Mobilität und Zeit für sich
Geschäft Effizienz Flexibilität und Agilität Kosten senken Betriebsaufwand Konsolidierung Mobilität und Zeit für sich Technologie Virtualisierung Mobile Geräte Consumerization und soziale Medien Cloud-Dienste
MehrDell Client Management Pack-Version 6.1 für Microsoft System Center Operations Manager Installationsanleitung
Dell Client Management Pack-Version 6.1 für Microsoft System Center Operations Manager Installationsanleitung Anmerkungen, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG liefert wichtige Informationen,
MehrTIA - Rechenzentrum. Systemvoraussetzungen
TIA - Rechenzentrum Systemvoraussetzungen Version 1.2 Stand 13.06.2012 Inhaltsverzeichnis 1 Hinweis... 3 2 Software... 3 2.1 Z-Atlas Einfuhr... 3 2.1.1 Clienteinstellungen... 3 2.2 Z-ATLAS AES & Z-ATLAS
MehrDefinition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten
Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen
MehrPräventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren
Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche
MehrSEMINAR Zertifizierungslehrgang IT-Forensik CERT-Spezialist: IuK Forensik, Incident- Response & IT-Recht
Home Schulungen Seminare Informationssicherheit (Security, Recht, DS) IT Sicherheit Zertifizierungslehrgang IT-Forensik CERT- Spezialist: IuK Forensik, Incident-Response & IT-Recht SEMINAR Zertifizierungslehrgang
MehrMasterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:
1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?
MehrIntegrierte Sicherheitslösungen
Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen
MehrLehrgang Information Security Management
Lehrgang Security Management Das Zeitalter der Datenkommunikation bietet ungeahnte Möglichkeiten der, Kommunikation, der Vereinfachung, Beschleunigung von Arbeitsabläufen, Geschäftsabschlüssen. Geschäftsprozesse
MehrDIE NEUE LÖSUNG KASPERSKY SECURITY FOR VIRTUALIZATION FÜR VIRTUALISIERTE VMWARE-, MICROSOFT- UND CITRIX- UMGEBUNGEN
DIE NEUE LÖSUNG KASPERSKY SECURITY FOR VIRTUALIZATION FÜR VIRTUALISIERTE VMWARE-, MICROSOFT- UND CITRIX- UMGEBUNGEN April 2014 SICHERHEIT IN VIRTUALISIERTEN UMGEBUNGEN: WAHR ODER FALSCH?? FALSCH VIRTUALISIERTE
MehrDer Landesbeauftragte für den Datenschutz Rheinland-Pfalz
Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet
MehrDie Zukunft der IT-Sicherheit
Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt
MehrEndpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de
Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?
MehrTask: Web-Anwendungen
Task: Web-Anwendungen Inhalt Einfachen Scan von Webanwendungen ausführen Fine-Tuning für Scan von Web-Anwendungen Anpassung Scanner Preferences Anpassung NVT Preferences Einleitung Copyright 2009-2014
Mehr3. Firewall-Architekturen
3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen
MehrIT-Sicherheit heute (Teil 4) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.
IT-Sicherheit heute (Teil 4) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit
MehrSymantec s Enterprise Security Lösungen Eduard Kobliska Channel Sales Manager E-Mail: ekobliska@symantec.com
Symantec s Enterprise Security Lösungen Eduard Kobliska Channel Sales Manager E-Mail: ekobliska@symantec.com 2002 Symantec Corporation, All Rights Reserved Warum IT-Security? Neue 70,000 Blended Threats
MehrDatenschutz und Datensicherheit in mittelständischen Betrieben
Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit
MehrISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de
ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor
MehrIst meine WebSite noch sicher?
Ist meine WebSite noch sicher? Massive Angriffe gegen Joomla, Wordpress, Typo3 02.12.2014 Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security Service
Mehr